Puede usar el panel de control del estado del sistema en View Administrator para identificar rápidamente los problemas que puedan afectar la operación de la función True SSO.

Para los usuarios finales, si True SSO deja de funcionar, cuando el sistema intenta iniciar la sesión del usuario en la aplicación o el escritorio remotos, el usuario ve el siguiente mensaje: "El nombre de usuario o la contraseña es incorrecto." Después de que el usuario haga clic en Aceptar, aparece la pantalla de inicio de sesión. En la pantalla de inicio de sesión de Windows, el usuario ve un icono adicional denominado Usuario SSO de VMware. Si el usuario tiene las credenciales de Active Directory de un usuario con autorización, puede iniciar sesión con las credenciales de AD.

El panel de control del estado del sistema situado en la parte superior izquierda de la ventana de View Administrator muestra varios elementos que pertenecen a True SSO.

Nota:

La función True SSO proporciona información al panel de control una vez por minuto. Haga clic en el icono de actualización situado en la esquina superior derecha para actualizar la información inmediatamente.

  • Puede hacer clic para expandir Componentes de View > True SSO para ver una lista de los dominios que usan True SSO.

    Puede hacer clic en un nombre de dominio para ver la siguiente información: una lista de servidores de inscripciones configurados para dicho dominio, una lista de entidades de certificación empresarial, el nombre de la plantilla del certificado que se está utilizando y el estado. Si hay algún problema, el campo Estado explica cuál es.

    Para cambiar las opciones de configuración que aparecen en el cuadro de diálogo Detalles del dominio True SSO, use la interfaz de línea de comandos vdmutil para editar el conector True SSO. Si desea obtener más información, consulte Comandos para administrar conectores.

  • Puede hacer clic para expandir Otros componentes > Autenticadores SAML 2.0 para ver una lista de autenticadores SAML que se crearan para delegar la autenticación a las instancias de VMware Identity Manager. Puede hacer clic en el nombre del autenticador para examinar los detalles y el estado.

Nota:

Para usar True SSO, se debe habilitar la opción global para SSO. En View Administrator, seleccione Configuración > Configuración global y compruebe que Configurar Single Sign-On (SSO) esté establecido como Habilitado.

Tabla 1. Agente del estado de conexión del servidor de inscripciones

Texto del estado

Descripción

No se pudo recuperar la información de estado de True SSO.

El panel de control no puede recuperar la información del estado desde el agente.

El servicio de configuración True SSO no puede contactar con el servidor de inscripción <FQDN>.

En un POD, uno de los agentes se selecciona para enviar la información de configuración a todos los servidores de inscripciones que usa el POD. Este agente actualizará la configuración del servidor de inscripciones una vez por minuto. Este mensaje aparece si la tarea de configuración no pudo actualizar el servidor de inscripciones. Para obtener más información, consulte la tabla Conectividad del servidor de inscripciones.

No se puede contactar con el servidor de inscripción <FQDN> para administrar las sesiones en este servidor de conexión.

El agente actual no puede conectarse al servidor de inscripciones. Este estado solo aparece para el agente al que el navegador se dirige. Si existen varios agentes en el pod, es necesario que cambie el navegador para que se dirija a otros agentes para comprobar sus estados. Para obtener más información, consulte la tabla Conectividad del servidor de inscripciones.

Tabla 2. Conectividad del servidor de inscripciones

Texto del estado

Descripción

Este dominio <Nombre dominio> no existe en el servidor de inscripciones <FQDN>.

El conector True SSO se configuró para usar este servidor de inscripciones en este dominio, pero aún no se configuró este servidor para que se conecte al dominio. Si el estado se mantiene durante más de un minuto, es necesario que compruebe el estado del agente responsable de actualizar la configuración de las inscripciones.

La conexión del servidor de inscripción de <FQDN> al dominio <Nombre dominio> aún se está estableciendo.

El servidor de inscripciones no se pudo conectar a un controlador de este dominio. Si este estado se mantiene durante más de un minuto, tiene que verificar que la resolución del nombre del servidor de inscripciones al dominio sea correcta y que exista una conectividad de red entre el servidor de inscripciones y el dominio.

La conexión del servidor de inscripción de <FQDN> al dominio <Nombre dominio> se está deteniendo o está en un estado problemático.

El servidor de inscripciones se conectó a un controlador de dominio, pero no puede leer la información PKI de este controlador. Si esto sucede, es posible que haya un problema con el controlador del dominio actual. Este problema también puede suceder si DNS no está configurado correctamente. Revise el archivo de registro del servidor de inscripciones para ver el controlador de dominio que el servidor de inscripciones está intentando usar y compruebe que el controlador de dominio esté totalmente operativo.

El servidor de inscripción <FQDN> no leyó aún las propiedades de inscripción de ningún controlador de dominio.

Este es un estado de transición y solo se muestra durante el inicio del servidor de inscripciones o cuando se agrega un nuevo dominio al entorno. Este estado suele durar menos de un minuto. Si dura más, puede ser que la red sea muy lenta o que exista un problema que no permita acceder correctamente al controlador del dominio.

El servidor de inscripción <FQDN> leyó las propiedades de inscripción al menos una vez, pero no pudo acceder a un controlador de dominio durante un tiempo.

Mientras el servidor de inscripciones lea la configuración PKI desde un controlador de dominio, se mantiene sondeando los cambios cada dos minutos. Este estado se establecerá si no se puede acceder al controlador de dominio (DC) durante un breve periodo de tiempo. Normalmente, esta situación supone que el servidor de inscripciones no puede detectar ningún cambio en la configuración PKI. Mientras los servidores de certificados puedan acceder a un controlador de dominio, los certificados se pueden seguir expidiendo.

El servidor de inscripción <FQDN> leyó las propiedades de inscripción al menos una vez, pero no pudo acceder a un controlador de dominio durante un largo período de tiempo o existe otro problema.

Si el servidor de inscripciones no puede acceder al controlador de dominio durante un tiempo prolongado, aparece este estado. El servidor de inscripciones intentará encontrar un controlador de dominio alternativo para este dominio. Si un servidor de certificados puede seguir accediendo a un controlador de dominio, los certificados pueden seguir expidiéndose, pero si este estado se mantiene durante más de un minuto, esto significa que el servidor de inscripciones perdió el acceso a todos los controladores del dominio y es posible que no se puedan seguir expidiendo los certificados.

Tabla 3. Estado del certificado de inscripción

Texto del estado

Descripción

No hay instalado un certificado de inscripción válido para este bosque <nombre dominio> del dominio en el servidor de inscripción <FQDN> o puede que caducara.

No se instaló ningún certificado de inscripción para este dominio o el certificado no es válido o caducó. Una CA empresarial debe expedir el certificado de inscripción y esta debe ser de confianza para el bosque al que este dominio pertenece. Compruebe que completó los pasos del documento Administración de View, que describe cómo instalar el certificado de inscripción en el servidor de inscripciones. También puede abrir el MMC, el complemento de administración de certificados, abriendo el almacén del equipo local. Abra el contenedor de certificados personales y compruebe que el certificado esté instalado y que sea válido. También puede abrir el archivo de registros del servidor de inscripciones. Los servidores de inscripciones registrarán información adicional sobre el estado de cualquier certificado que esté ubicado.

Tabla 4. Estado de plantilla del certificado

Texto del estado

Descripción

La plantilla <nombre> no existe en el dominio del servidor de inscripción <FQDN>.

Compruebe que especificó el nombre de plantilla correcto.

Los certificados generados por esta plantilla NO se pueden usar para iniciar sesión en Windows.

Esta plantilla no tiene habilitados el uso de la tarjeta inteligente ni la firma de datos. Compruebe que especificó el nombre de plantilla correcto. Compruebe que completó los pasos descritos en Crear plantillas de certificado para usarlas con True SSO.

La plantilla <nombre> está habilitada para iniciar sesión con una tarjeta inteligente, pero no se puede utilizar.

Esta plantilla está habilitada para iniciar sesión con una tarjeta inteligente, pero no puede usarse con True SSO. Compruebe que especificara el nombre de la plantilla correcto y compruebe que completó los pasos descritos en Crear plantillas de certificado para usarlas con True SSO. También puede revisar el archivo de registro del servidor de inscripciones, ya que tiene registrada la opción de la plantilla que hace que no se pueda usar con True SSO.

Tabla 5. Estado de configuración del servidor de certificados

Texto del estado

Descripción

El servidor de certificado <CN de CA> no existe en el dominio.

Compruebe que especificó el nombre correcto de la CA. Debe especificar el Nombre común (CN).

El certificado no está en el almacén NTAuth (Enterprise).

Esta CA no es empresarial o su certificado no se agregó al almacén NTAUTH. Si esta CA no es miembro del bosque, debe agregar el certificado de la CA manualmente al almacén NTAUTH de este bosque.

Tabla 6. Estado de conexión del servidor de certificados

Texto del estado

Descripción

El servidor de inscripción <FQDN> no está conectado al servidor de certificados <CN de CA>.

El servidor de inscripción no está conectado al servidor de certificados. Este estado puede ser de transición si el servidor de inscripciones se acaba de iniciar o si la CA se agregó recientemente a un conector True SSO. Si este estado se mantiene durante más de un minuto, esto significa que el servidor de inscripciones no se pudo conectar a la CA. Valide que la resolución del nombre esté funcionando correctamente, que tenga conectividad de red a la CA y que la cuenta del sistema para el servidor de inscripciones tenga permiso para acceder a la CA.

El servidor de inscripción <FQDN> se conectó al servidor de certificados <CN of CA>, pero este está en estado degradado.

Este estado se muestra si la CA expide certificados a un ritmo lento. Si la CA se mantiene en este estado, compruebe su carga o los controladores de dominio que usan la CA.

Nota:

Si la CA se marcó como lenta, mantendrá este estado hasta que se complete al menos una solicitud de certificado correctamente y se expida dentro de un intervalo de tiempo normal.

El servidor de inscripción <FQDN> se puede conectar al servidor de certificados <CN de CA>, pero el servicio no está disponible.

Este estado se expide si el servidor de inscripciones tiene una conexión activa a la CA pero no puede expedir certificados. Este suele ser un estado de transición. Si la CA no vuelve a estar disponible rápidamente, el estado cambiará a desconectado.